/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2013-10-22 19:24:01 UTC
  • Revision ID: teddy@recompile.se-20131022192401-op6mwsb7f7gygjyh
* mandos (priority): Bug fix: Add even more magic to make the old
                     DSA/ELG 2048-bit keys work with GnuTLS.
* mandos-keygen (KEYCOMMENT): Changed default to "".
* mandos-keygen (OPTIONS): Document new default value of "--comment".
* mandos-options.xml (priority): Document new default value.
* mandos.conf (priority): - '' -

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2017-02-23">
 
5
<!ENTITY TIMESTAMP "2013-10-20">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
 
      <year>2010</year>
37
 
      <year>2011</year>
38
36
      <year>2012</year>
39
37
      <year>2013</year>
40
 
      <year>2014</year>
41
 
      <year>2015</year>
42
 
      <year>2016</year>
43
 
      <year>2017</year>
44
38
      <holder>Teddy Hogeborn</holder>
45
39
      <holder>Björn Påhlsson</holder>
46
40
    </copyright>
103
97
      </arg>
104
98
      <sbr/>
105
99
      <arg>
106
 
        <option>--dh-params <replaceable>FILE</replaceable></option>
107
 
      </arg>
108
 
      <sbr/>
109
 
      <arg>
110
100
        <option>--delay <replaceable>SECONDS</replaceable></option>
111
101
      </arg>
112
102
      <sbr/>
229
219
            assumed to separate the address from the port number.
230
220
          </para>
231
221
          <para>
232
 
            Normally, Zeroconf would be used to locate Mandos servers,
233
 
            in which case this option would only be used when testing
234
 
            and debugging.
 
222
            This option is normally only useful for testing and
 
223
            debugging.
235
224
          </para>
236
225
        </listitem>
237
226
      </varlistentry>
270
259
          <para>
271
260
            <replaceable>NAME</replaceable> can be the string
272
261
            <quote><literal>none</literal></quote>; this will make
273
 
            <command>&COMMANDNAME;</command> only bring up interfaces
274
 
            specified <emphasis>before</emphasis> this string.  This
275
 
            is not recommended, and only meant for advanced users.
 
262
            <command>&COMMANDNAME;</command> not bring up
 
263
            <emphasis>any</emphasis> interfaces specified
 
264
            <emphasis>after</emphasis> this string.  This is not
 
265
            recommended, and only meant for advanced users.
276
266
          </para>
277
267
        </listitem>
278
268
      </varlistentry>
320
310
        <listitem>
321
311
          <para>
322
312
            Sets the number of bits to use for the prime number in the
323
 
            TLS Diffie-Hellman key exchange.  The default value is
324
 
            selected automatically based on the OpenPGP key.  Note
325
 
            that if the <option>--dh-params</option> option is used,
326
 
            the values from that file will be used instead.
327
 
          </para>
328
 
        </listitem>
329
 
      </varlistentry>
330
 
      
331
 
      <varlistentry>
332
 
        <term><option>--dh-params=<replaceable
333
 
        >FILE</replaceable></option></term>
334
 
        <listitem>
335
 
          <para>
336
 
            Specifies a PEM-encoded PKCS#3 file to read the parameters
337
 
            needed by the TLS Diffie-Hellman key exchange from.  If
338
 
            this option is not given, or if the file for some reason
339
 
            could not be used, the parameters will be generated on
340
 
            startup, which will take some time and processing power.
341
 
            Those using servers running under time, power or processor
342
 
            constraints may want to generate such a file in advance
343
 
            and use this option.
 
313
            TLS Diffie-Hellman key exchange.  Default is 1024.
344
314
          </para>
345
315
        </listitem>
346
316
      </varlistentry>
473
443
  
474
444
  <refsect1 id="environment">
475
445
    <title>ENVIRONMENT</title>
476
 
    <variablelist>
477
 
      <varlistentry>
478
 
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
479
 
        <listitem>
480
 
          <para>
481
 
            This environment variable will be assumed to contain the
482
 
            directory containing any helper executables.  The use and
483
 
            nature of these helper executables, if any, is
484
 
            purposefully not documented.
485
 
        </para>
486
 
        </listitem>
487
 
      </varlistentry>
488
 
    </variablelist>
489
446
    <para>
490
 
      This program does not use any other environment variables, not
491
 
      even the ones provided by <citerefentry><refentrytitle
 
447
      This program does not use any environment variables, not even
 
448
      the ones provided by <citerefentry><refentrytitle
492
449
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
493
450
    </citerefentry>.
494
451
    </para>
694
651
    </variablelist>
695
652
  </refsect1>
696
653
  
697
 
  <refsect1 id="bugs">
698
 
    <title>BUGS</title>
699
 
    <xi:include href="../bugs.xml"/>
700
 
  </refsect1>
 
654
<!--   <refsect1 id="bugs"> -->
 
655
<!--     <title>BUGS</title> -->
 
656
<!--     <para> -->
 
657
<!--     </para> -->
 
658
<!--   </refsect1> -->
701
659
  
702
660
  <refsect1 id="example">
703
661
    <title>EXAMPLE</title>
789
747
    <para>
790
748
      It will also help if the checker program on the server is
791
749
      configured to request something from the client which can not be
792
 
      spoofed by someone else on the network, like SSH server key
793
 
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
794
 
      echo (<quote>ping</quote>) replies.
 
750
      spoofed by someone else on the network, unlike unencrypted
 
751
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
795
752
    </para>
796
753
    <para>
797
754
      <emphasis>Note</emphasis>: This makes it completely insecure to
843
800
      </varlistentry>
844
801
      <varlistentry>
845
802
        <term>
846
 
          <ulink url="https://www.gnutls.org/">GnuTLS</ulink>
 
803
          <ulink url="http://www.gnu.org/software/gnutls/"
 
804
          >GnuTLS</ulink>
847
805
        </term>
848
806
      <listitem>
849
807
        <para>
855
813
      </varlistentry>
856
814
      <varlistentry>
857
815
        <term>
858
 
          <ulink url="https://www.gnupg.org/related_software/gpgme/"
 
816
          <ulink url="http://www.gnupg.org/related_software/gpgme/"
859
817
                 >GPGME</ulink>
860
818
        </term>
861
819
        <listitem>
899
857
      </varlistentry>
900
858
      <varlistentry>
901
859
        <term>
902
 
          RFC 5246: <citetitle>The Transport Layer Security (TLS)
903
 
          Protocol Version 1.2</citetitle>
 
860
          RFC 4346: <citetitle>The Transport Layer Security (TLS)
 
861
          Protocol Version 1.1</citetitle>
904
862
        </term>
905
863
      <listitem>
906
864
        <para>
907
 
          TLS 1.2 is the protocol implemented by GnuTLS.
 
865
          TLS 1.1 is the protocol implemented by GnuTLS.
908
866
        </para>
909
867
      </listitem>
910
868
      </varlistentry>
921
879
      </varlistentry>
922
880
      <varlistentry>
923
881
        <term>
924
 
          RFC 6091: <citetitle>Using OpenPGP Keys for Transport Layer
 
882
          RFC 5081: <citetitle>Using OpenPGP Keys for Transport Layer
925
883
          Security</citetitle>
926
884
        </term>
927
885
      <listitem>